模型保护方法及相关产品与流程

本申请涉及模型保护，具体涉及一种模型保护方法及相关产品。

背景技术：

1、数据在整个生命周期有三种状态：静态(at-rest)、传输中(in-transit)和使用中(in-use)。如果人工智能(artificial intelligence，ai)在使用中出现了主动或者被动的安全问题，后果是不堪设想的，所以ai安全是一个持久性的安全需求。其中，在对于ai模型的保护中，需要在数据的三种状态中使用。

2、对于在in-use状态下实现ai模型保护的技术中，一般会将应用以及应用依赖的基础软件部署在安全世界(secure world)中，例如，对于指纹或者人脸解锁类ai应用的ai模型，可通过基于硬件的可信执行环境(trusted execution environment，tee)将任务部署到图形处理器(graphics processing unit，gpu)中。但是此时的gpu只能服务于安全世界，如果需要切换服务到非安全世界(normal world)，需要对上下文保存和恢复，并对运行环境进行清理，效率较低。

技术实现思路

1、本申请实施例提供了一种模型保护方法及相关产品，可以利用gnpu的多实例化，重复利用gnpu的算力，实现同时为安全世界(secure world)和非安全世界(normal world)提供服务；在通过gnpu多实例实现模型保护的情况下，有利于提高服务效率。

2、第一方面，本申请实施例提供一种模型保护方法，应用于电子设备，所述电子设备包括中央处理器cpu和通用神经网络处理器gnpu，所述方法包括：

3、确定ai应用对应的至少一个ai模型，其中，所述ai模型应用于in-use状态下，所述ai模型包括非加密ai模型和加密ai模型；

4、针对每一所述加密ai模型，在所述cpu的安全世界建立所述加密ai模型对应的虚拟机，在所述gnpu内建立所述加密ai模型对应的实例，并建立所述加密ai模型对应的虚拟机和所述实例之间的安全通道，其中，所述安全通道用于支持所述虚拟机和所述实例之间的数据交互；

5、针对至少一个所述非加密ai模型，在所述gnpu内建立所述至少一个非加密ai模型对应的实例，并在所述cpu的非安全世界和所述gnpu之间建立所述至少一个非加密ai模型与所述实例之间的普通通道，其中，所述普通通道用于支持所述至少一个非加密ai模型与所述实例之间的数据交互。

6、第二方面，本申请实施例提供一种模型保护装置，所述装置应用于电子设备，所述电子设备包括中央处理器cpu和通用神经网络处理器gnpu，所述装置包括：确定单元和建立单元，其中，

7、所述确定单元，用于确定ai应用对应的至少一个ai模型，其中，所述ai模型应用于in-use状态下，所述ai模型包括非加密ai模型和加密ai模型；

8、所述建立单元，用于针对每一所述加密ai模型，在所述cpu的安全世界建立所述加密ai模型对应的虚拟机，在所述gnpu内建立所述加密ai模型对应的实例，并建立所述加密ai模型对应的虚拟机和所述实例之间的安全通道，其中，所述安全通道用于支持所述虚拟机和所述实例之间的数据交互；

9、所述建立单元，还用于针对至少一个所述非加密ai模型，在所述gnpu内建立所述至少一个非加密ai模型对应的实例，并在所述cpu的非安全世界和所述gnpu之间建立所述至少一个非加密ai模型与所述实例之间的普通通道，其中，所述普通通道用于支持所述至少一个非加密ai模型与所述实例之间的数据交互。

10、第三方面，本申请实施例提供一种电子设备，包括处理器、存储器、通信接口以及一个或多个程序，其中，上述一个或多个程序被存储在上述存储器中，并且被配置由上述处理器执行，上述程序包括用于执行本申请实施例第一方面任一方法中的步骤的指令。

11、第四方面，本申请实施例提供了一种计算机可读存储介质，其中，上述计算机可读存储介质存储用于电子数据交换的计算机程序，其中，上述计算机程序使得计算机执行如本申请实施例第一方面任一方法中所描述的部分或全部步骤。

12、第五方面，本申请实施例提供了一种包含指令的计算机程序产品，其中，上述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质，当所述计算机程序产品在电子设备上运行时，使得所述电子设备执行如本申请实施例第一方面任一方法中所描述的部分或全部步骤。该计算机程序产品可以为一个软件安装包。

13、可以看出，本申请实施例中，确定ai应用对应的至少一个ai模型，其中，所述ai模型应用于in-use状态下，所述ai模型包括非加密ai模型和加密ai模型；针对每一所述加密ai模型，在所述cpu的安全世界建立所述加密ai模型对应的虚拟机，在所述gnpu内建立所述加密ai模型对应的实例，并建立所述加密ai模型对应的虚拟机和所述实例之间的安全通道，其中，所述安全通道用于支持所述虚拟机和所述实例之间的数据交互；针对至少一个所述非加密ai模型，在所述gnpu内建立所述至少一个非加密ai模型对应的实例，并在所述cpu的非安全世界和所述gnpu之间建立所述至少一个非加密ai模型与所述实例之间的普通通道，其中，所述普通通道用于支持所述至少一个非加密ai模型与所述实例之间的数据交互。如此，可以通过本申请实施例实现对于不同的ai模型的部署，利用gnpu的多实例化，实现对于不同的ai模型的保护，同时重复利用gnpu的算力，为安全世界(secure world)和非安全世界(normal world)提供服务；在通过gnpu多实例实现模型保护的情况下，有利于提高服务效率。

技术特征：

1.一种模型保护方法，应用于电子设备，其特征在于，所述电子设备包括中央处理器cpu和通用神经网络处理器gnpu，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述加密ai模型对应的实例由所述cpu中的tee管理，所述gnpu的gnpu驱动模块部署于所述tee中。

3.根据权利要求2所述的方法，其特征在于，所述在所述cpu的安全世界建立所述加密ai模型对应的虚拟机，在所述gnpu内建立所述加密ai模型对应的实例，并建立所述加密ai模型对应的虚拟机和所述实例之间的安全通道，包括：

4.根据权利要求1所述的方法，其特征在于，所述非安全世界包括任务调度模块，所述方法还包括：

5.根据权利要求4所述的方法，其特征在于，所述对所述多个非加密ai模型进行拓扑排序，包括：

6.根据权利要求1-5任一项所述的方法，其特征在于，所述gnpu同时为所述tee或所述安全世界，和所述非安全世界提供算力支持服务。

7.一种模型保护装置，其特征在于，所述装置应用于电子设备，所述电子设备包括中央处理器cpu和通用神经网络处理器gnpu，所述装置包括：确定单元和建立单元，其中，

8.一种电子设备，其特征在于，包括处理器、存储器、通信接口，以及一个或多个程序，所述一个或多个程序被存储在所述存储器中，并且被配置由所述处理器执行，所述程序包括用于执行如权利要求1-6任一项所述的方法中的步骤的指令。

9.一种计算机可读存储介质，其特征在于，存储用于电子数据交换的计算机程序，其中，所述计算机程序使得计算机执行如权利要求1-6任一项所述的方法。

10.一种包含指令的计算机程序产品，其特征在于，当所述计算机程序产品在电子设备上运行时，使得所述电子设备执行如权利要求1-6任一项所述的方法。

技术总结
本申请实施例公开了一种模型保护方法及相关产品，方法包括：确定AI应用对应的至少一个AI模型，AI模型包括非加密AI模型和加密AI模型；针对每一加密AI模型，在CPU的安全世界建立加密AI模型对应的虚拟机，在GNPU内建立加密AI模型对应的实例，并建立加密AI模型对应的虚拟机和实例之间的安全通道；针对至少一个非加密AI模型，在GNPU内建立至少一个非加密AI模型对应的实例，并在CPU的非安全世界和GNPU之间建立至少一个非加密AI模型与实例之间的普通通道。采用本申请实施例可以在通过GNPU多实例实现模型保护的情况下，有利于提高服务效率。

技术研发人员：李国良,林军,岳国庆
受保护的技术使用者：哲库科技（上海）有限公司
技术研发日：
技术公布日：2024/1/13